Oikein

Sveitsin liittovaltion tietosuojalaki (DSG)


Sveitsin kartta, jossa on valkoinen risti

Mikä on DSG?

Sveitsin tietosuojalaki (DSG) on nyt tarkistettu versio ensimmäisestä DSG:stä, joka tuli voimaan vuonna 1992. Uusi laki tulee voimaan 1.9.2023 alkaen tarkistetuilla ja päivitetyillä muutoksilla vastaamaan nykypäivän internet-ympäristön tarpeita. Tämän määräyksen tarkoituksena on suojata niiden henkilöiden yksityisyyttä ja perusoikeuksia, joiden tietoja käsitellään.

”Tällä lailla pyritään suojelemaan niiden luonnollisten henkilöiden yksityisyyttä ja perusoikeuksia, joiden henkilötietoja käsitellään.”

Tärkeimmät muutokset ensimmäiseen julkaisuun verrattuna ovat se, että yritysten on nyt selitettävä, miksi ne keräävät asiakkailtaan henkilötietoja, ja että heidän on ilmoitettava selkeästi, mitkä kolmannet osapuolet ovat mukana heidän henkilötietojensa jakamisessa. Yksityishenkilöillä on nyt myös oikeus tietää, kuinka kauan hänen tietojaan säilytetään ja mihin tarkoitukseen.

Ketä DSG koskee?

DSG koskee luonnollisia henkilöitä (entisiä oikeushenkilöitä) sekä kaupallisia ja ei-kaupallisia organisaatioita, jotka käsittelevät Sveitsin kansalaisten henkilötietoja.

DSG:n maantieteellinen kattavuus toimii samalla tavalla kuin GDPR. Tarkka määritelmä tässä on, että tämä asetus koskee tietosuoja-asioita, joilla on vaikutuksia Sveitsissä, vaikka ne olisivat aiheutettuja ulkomailla.

…”joilla on vaikutusta Sveitsiin, vaikka ne olisi aloitettu ulkomailla”.

DSG:n mukaiset velvollisuudet

Rekisterinpitäjien ja käsittelijöiden velvollisuudet

GDPR:n vaatimuksiin verrattavissa oleva DSG vaatii nyt yrityksiä luomaan ”rekisterin käsittelytoimista” (DSG:n 12 artikla). Vastuuhenkilö ja tilausten käsittelijä ovat ensisijaisesti vastuussa tästä. Tämän tulee sisältää seuraavat tiedot:

  • Vastuuhenkilöiden henkilöllisyys
  • tietojen käsittelyn tarkoitus
  • Kuvaus rekisteröityjen luokista ja henkilötiedoista
  • vastaanottajien luokka
  • mikäli mahdollista, henkilötietojen säilytysaika tai tämän ajanjakson määrittämisessä käytetyt kriteerit;
  • mikäli mahdollista, yleiskuvaus tietoturvan varmistamiseksi toteutetuista toimenpiteistä
  • jos tietoja siirretään ulkomaille, maininta maasta ja takeista, joilla varmistetaan riittävä tietosuoja.

rekisteröidyn oikeudet

Kuten jo mainittiin, tämä laki keskittyy rekisteröidyn henkilötietojen suojaamiseen. Näin ollen rekisteröityä suojataan seuraavilla oikeuksilla:

  • oikeus saada tietoja henkilötietojesi käsittelystä (revDSG:n 25-27 artikla),
  • oikeus pyytää vastuuhenkilöä luovuttamaan henkilötietonsa tai siirtämään ne koneellisesti luettavassa muodossa toiselle vastuuhenkilölle maksutta. (revDSG:n 28 ja 29 artikla),
  • oikeus siihen, että hänen tietojaan ei käytetä automatisoituihin yksittäisiin päätöksiin, joissa käytetään algoritmeja ilman, että ihminen puuttuu prosessiin (Art. 21 revDSG),
  • Jos arkaluonteisia henkilötietoja käsitellään tai henkilöprofiileja luodaan, suostumus on annettava nimenomaisesti. Rekisteröidyn suostumus vaaditaan.

DSG:n täytäntöönpano

Federal Data Protection and Information Commissionerin (FDPIC) rooli

FDPIC on vastuussa FADP:n soveltamisesta ja noudattamisesta. Hän vastaa myös selvennyksistä, neuvonnasta ja henkilötietojen suojasta Sveitsissä. Viraston nimittää Bundesrat (Sveitsin liittohallituksen toimeenpaneva elin).

Seuraamukset ja sakot lainrikkomuksista

Jos henkilö rikkoo DSG:n lakeja, hänelle määrätään jopa 250 000 CHF:n sakko. Kuten GDPR:ssä, rangaistus ei ole sidottu yritykseen, vaan vastuussa olevaan luonnolliseen henkilöön.

Mitä sinun tulee tehdä noudattaaksesi DSG:tä

Aloita nyt ja varmista, että olet valmis ennen kuin FADP tulee voimaan syyskuussa 2023. Sveitsissä sijaitsevien yritysten tai jos harjoitat liiketoimintaa Sveitsissä, tulee ryhtyä seuraaviin toimenpiteisiin:

  • Kirjaa ylös kaikki lain kannalta merkitykselliset tietojenkäsittelytoimesi.
  • Sinulla on voimassa oleva tietosuojakäytäntö, joka täyttää kaikki GDPR:n vaatimukset.
  • Varmista, että nimität tietosuojavastaavan (DPO), joka määrittää käytännöt ja menettelyt FDPIC:n mukaisesti.
  • Jos tarvitset suostumuksen henkilötietojen käsittelyyn, varmista, että käytät CMP:tä, joka mahdollistaa kelvollisen suostumuksen keräämisen ja tallentamisen. Hankittava suostumus voidaan näyttää suostumusbannerina, jonka pitäisi näkyä käyttäjän ensimmäisellä vierailulla verkkokaupassasi tai yrityksen verkkosivuilla.

Johtopäätös

Ei ole yllättävää, että DSG:n nykyistä versiota suunnitellaan uudelleen tekniikan kehityksen tahdissa. Ja vaikka olisit jo GDPR-yhteensopiva, saatat silti joutua tekemään toimenpiteitä. Varmista, että organisaatiosi on vaatimusten mukainen ja että sillä on lainmukainen suostumustyökalu.

Etkö ole aivan varma, täyttääkö yrityksesi DSG:n tulevat vaatimukset? Keskustele asiantuntijamme kanssa tai tarkista suostumuksen hallintatyökalumme täältä .


lisää kommentteja

Uusi

Uutiskirje 05/2024

Uusi integraatio Slackille, MS Teamsille ja muille Nykyisen päivityksen myötä järjestelmässä on nyt saatavilla uusi integrointitoiminto Slackin, MS Teamsin, Zapierin ja n8n:n kanssa. Toiminto ilmoittaa sinulle kätevästi Slackissa, Teamsissä tai missä tahansa muussa työkalussa tärkeistä muutoksista ja uutisista (esim. löydetyistä uusista evästeistä) CMP-tililläsi. Sinun ei enää tarvitse kirjautua aktiivisesti CMP:hen tarkistaaksesi päivitykset. Järjestelmä lähettää sinulle […]
Webinar-GCM-v2-with-Google-and-consentmanager
Kenraali, Uusi, Videot

Webinaari: Google Consent Mode v2 Googlen ja consentmanager kanssa

Liity eksklusiiviseen verkkoseminaariimme, jota isännöi consentmanager yhteistyössä Googlen kanssa 12. kesäkuuta 2024 klo 11.00 CET. Uusimpia Googlen vaatimuksia koskevien tietojen suuren kysynnän vuoksi tämä webinaari auttaa sinua ymmärtämään paremmin Google Consent Mode v2. Dennis Gingele Googlesta ja Jan Winkler consentmanager esittelevät tarvitsemasi olennaiset faktat ja taustat. Työskenteletpä sitten digitaalisen markkinoinnin parissa, verkkosivujen ylläpitäjänä tai vaatimustenmukaisuuden […]